Anchor
_Toc12711 _Toc12711

Indeks

Indeks
Revisionshistorik
Introduktion
Kontrol af korrekt driftstilstand
Ændring af statisk konfiguration
Logfil
Backup
Start/genstart af service
Opgradering
Sikkerhedsvejledning for SOSI-Gateway
Netværksforbindelser
Adgang til administrationskonsollen i SOSI-GW
Adgang til filsystemet på serverne
Adgang til databaser
Logning
Brug af SOSI-GW som "webservice-firewall"
Appendix A - Statiske konfigurations parametre

Anchor
_Toc12713 _Toc12713

Introduktion

...

Man kan forestille sig at man har et net, man ønsker at beskytte mod uautoriserede webservice-kald, f.eks. sundhedsdatanettet. En anvendelse af SOSI-GW er at konfigurere sit netværk, så kun medlemmer af SOSI-GW clusteret kan sende webservice-kald ud på sundhedsdatanettet, og så benytte adgangskontrollen indbygget i SOSI-GW til at styre hvilke applikationer og maskiner, der får lov til at kalde hvilke services på sundhedsdatanettet.

Anchor
_Toc12727 _Toc12727

Appendix A - Statiske konfigurations parametre

...

Afgør hvilket interface der benyttes til intra-cluster kommunkation, hvis der ikke er sat nogen værdi lyttes på alle interfaces.
Det anbefales at intra-cluster kommunikation foregår på et separat IP-subnet eller endnu bedre et separat VLAN.
Da det er et prefix kan værdien fx være "10.", "192.168.", "172.17."

cluster.multicast.ip.address

Intra-cluster multicast adresse, skal i kombination med port være unik for hver SOSIGW cluster.
cluster.multicast.ip.port
Port der benyttes til intra-cluster multicast

sosigw.mode

Hvad "mode" skal sosi-gw køre i, kan antage en af værdierne 'production', 'test',
'developer' eller 'bootstrap' sosigw.mode=developer
En nem måde at få sosi-gw til at køre lokalt.
Slår brugen af database, auditlogging, clustering og login tjek på konsollen fra, derudover slås adgangstjek for webservices for både klient og server. Bruger TEST-STS service, og kommunikere ikke med andre clustre medlemmer. sosigw.mode=production
Slår fuld funktionalitet til og benytter produktions STS service.
Kræver at lokal og global database er korrekt konfigureret, og kører i et cluster hvis mere end en node er tilstede.
sosigw.mode=test
Som produktion men benytter TEST STS.

...

Får sosi-gw til at starte i begrænset mode, hvor kun konsollen er tilgængelig og der ikke kræves autorisation.
Det er ment som en måde at få sosi-gw gjort klar første gang den startes, eller ved nødstilfælde hvor der ikke findes et gyldigt login.
Kræver lokal database for at konfigurationsændringerne gemmes. Kan ikke servicere requests og benytter ikke STS i denne mode.

sosigw.slalog

Slå sla-logging til, bemærk at når sosi-gw er i produktion mode vil denne indstilling ignoreres da sla-logging altid er aktiv i produktion.
fmk.isalive.url
Bruges fra "check pages", til at validere at FMK er oppe.

dgws.version

Hvilken version af DGWS som supporteres, gyldige værdier er 1.0 eller 1.0.1, skal matche den version som klient applikationerne benytter.
Hvis begge versioner ønskes, er det nødvendig at have to parallele sosi-gw kørende.

jdbc.driver

Hvilken JDBC driver der skal benyttes, følgende er understøttet: jdbc.driver=org.gjt.mm.mysql.Driver jdbc.driver=org.mysql.Driver jdbc.driver=org.postgresql.Driver jdbc.driver=org.hsqldb.jdbcDriver
jdbc.datasource
Navnet på den datasource der slåes op i jndi.

global.auditlog.enabled

Hvis slået til vil sosi-gw samle audit log linjer fra alle sosi-gw instanser til en global auditlog database.
Bemærk, auditlog søgning i konsollen benytter den globale auditlog database, så hvis denne slås fra, vil auditlog søgning også slås fra.
auditlog.to.db.enabled
Om der skal auditlogges til database, bemærk log4j altid er slået til.

restricted.webservice.enabled

Slå den begrænsede version af signon webservicen på /service/sosigw-restricted til eller fra.
Den begrænsede webservice er beregnet til brug med "Signon Library" og er et duplikat af den fulde webservice /services/sosigw med logout og getValidIdCard fjernet.
runtimeconfig.storage.type Kan sættes til db eller properties
Hvis db vælges læses konfigurationen fra den lokale database, for de forskellige instanser.
Hvis properties vælges læses konfigurationen fra sosigw-staticconf.properties, konsollen slås fra og konfigurationen bliver ikke propageret mellem de forskellige cluster medlemmer.

runtimeconfig.general.browsersigning.url

...

Url til den STS service der skal benyttes, kan være en liste url'er der prøves i rækkefølge, url'erne skal være adskil med mellemrum.

runtimeconfig.general.globaldb.jdbc.url

Jdbc connection streng til den globale auditlog database.
runtimeconfig.general.globaldb.jdbc.username Brugernavn til den globale audit log database.
runtimeconfig.general.globaldb.jdbc.password
Password til den globale audit log database
runtimeconfig.general.globaldb.transmit.interval
Hvor tit audit logs flyttes fra den lokale audit log til den globale, i millisekunder.
runtimeconfig.general.careprovider.cvr
CVR på den organisation der kører sosi-gw, brug 19343634 til test.
runtimeconfig.general.careprovider.cvr.name
Navnet på den organisation der kører sosi-gw, benyt SOSITEST i test.

runtimeconfig.general.idcard.signing.timeout

Antal sekunder der må gå fra man har bedt om en digest/url til man skal have startet en browser signerings session.

runtimeconfig.general.browser.signing.timeout

Antal sekunder der må gå fra man har startet browser signerings appletten til browseren skal have sendt det signerede digest.
runtimeconfig.general.sts.number.failures.before.open.cb Antal gange kald til STSen må fejle før circuit breakeren åbner.
runtimeconfig.general.sts.millis.before.attempting.close.cb
Antal millisekunder der skal gå før circuit breakeren igen forsøger at lukke.
runtimeconfig.general.sts.timeout.millis
Tid(i millisekunder) der ventes på svar på STS forespørgsler.

runtimeconfig.general.cache-partitioning.enabled

Skal idkort cachen være partitioneret, baseret på indholdet af en http-header (se nedenfor)

runtimeconfig.general.cache-partitioning.http-header.name

Navnet på den http-header der indeholder det partionId der skal bruges (ignoreres hvis partitionering er slået fra).

runtimeconfig.general.decoupling-component.url

Url til den "Decoupling Component" der skal modtage forespørgsler der ikke indeholder en WSAddressing i headeren.

runtimeconfig.general.pass-through-on-signature.enabled

Hvis denne er slået til vil sosi-gw ikke udskifte idkort på forespørgsler der allerede har en, signatur med digest, signatur værdi og certificate element.

runtimeconfig.clientaccesswhitelist.*

Klient whitelisting liste, kan forekomme mere end en gang, * udskiftes med et unikt alias for den klient der ønskes whitelistes.
Formatet på værdien er "IP-adresse, Salt, Kommentar" IP-adressen behøver ikke være en hel IP, der matches på begyndelsen, så fx hvis 10.0. er valgt vil den matche alle ip'er der starter med 10.0.
Hvis både IP-adresse og Salt er angivet tjekkes begge dele.
Eks på en klient whitelist:
runtimeconfig.clientaccesswhitelist.fromthelb=9.0.5.,,From the LB

runtimeconfig.servicepreservewsa.*

Liste med services hvor To og Action i WSAddressing ønskes bevaret, kan forekomme mere end en gang, * udskiftes blot med et unikt alias.
Indeholdet skal være en komma separeret liste med formatet "WS-Addressing-to regexp, WS-Addressing-action regexp, Kommentar".
WS-Addressing-to & WS-Addressing-action skal indeholde regex som matches med det der kommer i forespørgsler.
Eksempel hvor alt der er til trifork.lms.trifork.com eller ip 195.80.250.83, ikke vil få fjernet To og Action:
runtimeconfig.servicepreservewsa.fmk=.*(trifork\\.lms\\.trifork
.com